它们对您的组织来说是必要的,但它们也可能构成威胁。他们是您的特权用户。本文回顾了什么是特权用户、可能发生的威胁以及如何降低风险。

什么是特权用户?

在组织解决特权用户内部威胁并实施正确的监控和缓解最佳实践之前,它必须首先定义特权用户。通常,它是有权访问公司敏感数据的员工。他们通常有权在组织的网络上执行管理任务。公司需要特权用户来处理源代码、维护文件系统和实施网络升级或解决其他技术变化。

大多数特权用户将维护其组织资产的完整性。然而,他们可以轻松规避通常受限制的控制措施,这使得资产容易受到攻击。此外,偶尔会滥用执行任务所需的临时访问权限。有两种方法可以确定特权用户访问权限:

  1. 考虑用户可以物理访问的内容
  2. 考虑用户可以使用其凭据以数字方式访问哪些内容

随着访问权限的增加和控制的减少,安全挑战也随之增加。当组织缺乏良好的安全计划或未始终如一地执行该计划时,就会使知识产权(例如敏感的产品数据或员工信息)容易受到特权用户的威胁。

事实上, 注册欺诈审查员协会 (ACFE) 指出,平均每个组织每年因员工欺诈而损失 5% 的收入。通常,它由组织 IT 部门的人员承担,因为他们拥有其他员工所缺乏的更多技术知识。但是,重要的是要记住,冒犯者可能并不总是特权用户。可能是组织外部的某个人能够通过网络钓鱼获取 IT 员工的凭据。

什么是特权用户威胁?

Ponemon Institute 的报告“特权用户滥用和内部威胁”发现,大多数组织难以识别与内部人员行为相关的可信威胁。其中,69% 的受访者表示他们无法在入侵之前识别出此类威胁。此外,该报告发现,42% 的受访者对他们能否辨别其特权用户是否符合政策没有信心——只有 16% 的人对这些领域感到非常有信心。

特权用户威胁危险信号可能很微妙。其他的更明显。这里有些例子:

  • 试图进入一个未被批准进入的区域。
  • 以通常不使用的方式使用凭据(例如网络登录)。
  • 利用权限蠕变,这通常发生在被调职和离职员工之间。

那么一个组织如何保护自己呢?通过监控人类行为来确定特权用户的上下文和意图。通过实施正确的策略、控制和技术,可以通过纵深防御方法实现监控。如果安全监控到位并持续执行,企业将很快知道是否有需要采取行动的事件。

实施最佳实践以降低风险

一旦定义了特权用户并确定了环境的潜在威胁特征,就应该实施控制、策略和技术来降低风险。考虑以下:

  1. 将公司内的特权用户帐户限制为仅适用于其职位需要的人 - 包括共享特权用户帐户和本地管理员权限。此步骤需要定期监控以跟踪身份验证尝试的性质。
  2. 批准所有访问权限,让关键参与者参与进来。理想情况下,批准应来自请求访问的员工指挥链中的某个人(例如直接主管)。在票务系统中正式记录访问请求。提交访问请求以及访问的业务理由应该是一项要求。
  3. 为员工提供清晰的蓝图,指导他们完成安全流程,这样就没有误解或滥用的余地。流程应包括:a) 传达和执行严格的帐户管理和密码策略,以及 b) 确保他们在完成每项任务后正确注销特权用户帐户,并且仅访问与其工作相关的区域。令人惊讶的是,Ponemon 报告还发现,65% 的受访者出于好奇而非工作需要而深入研究敏感或机密数据。此外,所有人员——无论他们是否是特权用户——都应该接受培训并定期提醒他们避免将敏感数据转发到他们的个人电子邮件中。
  4. 投资正确的技术来保护您的组织并采取多层次的方法。单一技术无法完全保护您的组织。考虑实施以下一些措施: 特权帐户管理 (PAM) - 使企业能够控制特权共享帐户的使用,例如 root/管理员帐户。 PAM 允许细粒度的、上下文驱动的或有时间限制的超级用户权限。它还更详细地监视共享帐户的使用和超级用户权限。如果正确配置和监控,安全信息和事件管理 (SIEM) 系统可以通知组织未经授权的数据访问。它可以基线行为并记录偏差(即访问特权用户过去未访问过的区域)。请记住,SIEM 不会阻止实际的违规行为。数据治理解决方案能够确定用户的当前访问权限,并就用户的实际访问权限在强制执行最低权限的情况下应该是什么样子提出智能建议。数据治理解决方案还可以分析文件系统权限,并在当前定义为具有访问权限的用户和组未访问资源时,针对从文件资源中删除访问权限提出额外的智能建议。
  5. 争取人力资源来支持您的努力。可以采取措施来增强特权用户访问安全性。它们包括保密协议、竞业禁止协议和背景调查。上述报告发现,57% 的受访者表示,在颁发特权帐户凭据之前没有进行背景调查。主动进行这些检查可以轻松减少威胁范围,并在遵守支付卡行业 - 数据安全标准 (PCI-DSS)、联邦信息安全管理法案 (FISMA) 和 Sarbanes Oxley (SOX) 法规方面起到双重作用。更进一步,与求职者进行更彻底的面试过程(即实际上打电话给推荐人,提出更具体的问题等)可以进一步减少潜在威胁。
  6. 立即对特权用户内部人员事件采取行动。当一个人被识别时,应打开带有相关信息(例如适用日志)的事件跟踪单。应将其分配给帮助台或安全团队进行进一步调查。人们甚至可能会发现特权用户以外的其他人通过黑客技术访问了他或她的登录凭据。

尽管大多数组织都制定了政策和程序,但许多组织并没有定期执行这些政策和程序。至少,应该对特权用户访问进行年度审查。审查可以确定是否为不需要访问权限的用户授予访问权限,以及是否应因滥用或更改工作角色而撤销访问权限。

低估技术和流程投资回报率

上面已经强调了一些可以减少特权内部威胁的技术和流程。但是,许多组织并未为此类技术和流程赋予价值。不幸的是,只有不到一半的预算专门用于可以减少此类威胁的技术。通常,管理层甚至看不到确保严格权限的价值——而且当前的安全架构可能无法解决这些安全措施。

此外,一些拥有互联网存在的组织选择拥有网络保险,以防万一。但是,保险公司很少要求这些组织负责实施技术和流程以防止他们遭受公共伤害/其他违规行为。许多人根本不认为它足够重要以执行或实施。

它让人明白自满会导致问题。尽管技术不能解决所有问题或减轻所有威胁,但它可以大大减少其中的许多问题,特别是如果该技术得到周到的实施和一致的监控。

结论

首先,强烈建议所有组织进行风险评估。风险评估将有助于确定特权用户内部威胁,并更清楚地了解缺少哪些控制或需要改进哪些策略。

完成后,您将更有能力创建涵盖所有领域(人员、流程和技术)的安全计划。据此进行计划并争取管理层的支持。如果将风险降低到组织可接受的水平,则实施适当的技术和流程。

我们都希望什么软件买球员工永远不会损害我们组织的安全,但它确实发生了。即使您的特权用户能够完整地访问网络,也有其他人在等待并希望您的特权用户会滑倒,以便他们可以滑入。